1. Oracle SQL Firewallユーザーズ・ガイド
  2. Oracle SQL Firewallの構成
  3. Oracle Data Safeを使用したOracle SQL Firewallの構成および管理
  4. 違反レポートの表示および管理

2.2.5 違反レポートの表示および管理

レポートで実行できるアクションと、カスタム・レポートの作成方法について説明します。

2.2.5.1 違反レポートの列の変更

レポートで列を追加または削除するには、次を実行します:

  1. 事前定義済またはカスタムの違反レポートを表示します。
  2. 「アクション」ドロップダウン・メニューをクリックします。
  3. 「列の管理」をクリックします。

    「列の管理」ウィンドウが表示されます。

  4. レポートに表示する列を選択します。
  5. レポートで非表示にする列の選択を解除します。
  6. 「変更の保存」をクリックします。

2.2.5.2 違反レポートでの基本フィルタリング

レポートに基本フィルタを適用するには、次を実行します:

  1. カスタムまたは事前定義済の違反レポートを表示します。
  2. 「別のフィルタ」をクリックします。
  3. フィルタ・タイプ、演算子を選択し、値を入力します。レポートで使用可能な列はすべて、

    フィルタ・タイプとして使用できます。

  4. 「適用」をクリックします。
  5. ステップ2から4を繰り返して、追加のフィルタを適用します。

フィルタを削除するには、フィルタ行の横にある「X」をクリックします。

合計カテゴリ(ブロックされた違反など)に基づいてレポートをフィルタ処理するには、合計をクリックします。レポートの下部にある表の違反のリストが自動的に更新されます。フィルタを削除するには、合計を再度クリックします。

ノート:

レポートの一部の合計のみがシングルクリック・フィルタです。

2.2.5.3 違反レポートでの高度なフィルタリング

違反の高度なフィルタリングにより、データを分析に含める、または分析から除外するために満たす必要がある複雑な条件と複数の基準を組織が指定できるようにすることで、データの分析およびレビュー方法の柔軟性が高まります。

レポートに高度なフィルタを適用するには、次を実行します:

  1. 事前定義済またはカスタムの違反レポートを表示します。
  2. 「拡張SCIM問合せビルダーの表示」をクリックします。
  3. 提示されたフィルタ・ビルダーとドロップダウンを使用して、フィルタを入力します。高度なフィルタリングでは、System for Cross-Domain Identity Management (SCIM)構文が使用され、サポートされている演算子は次のとおりです:
    • co: 指定された文字列を含む属性を持つリソースに一致します
    • eq: 指定された値に等しい属性を持つリソースに一致します(大/小文字は区別されません)
    • eq_cs: 指定された値に等しい属性を持つリソースに一致します(大/小文字は区別されます)
    • ew: 指定された文字列で終わる属性を持つリソースに一致します
    • ge: 指定された値以上の属性を持つリソースに一致します
    • gt: 指定された値より大きい属性を持つリソースに一致します
    • in: リスト内の指定された値のいずれかに等しい属性を持つリソースに一致します
    • le: 指定された値以下の属性を持つリソースに一致します
    • lt: 指定された値より小さい属性を持つリソースに一致します
    • ne: 指定された値と等しくない属性を持つリソースに一致します
    • not_in : リスト内の指定された値のいずれとも等しくない属性を持つリソースに一致します
    • pr: 指定された値が存在する場合、属性を持つリソースに一致します
    • sw: 指定された文字列で始まる属性を持つリソースに一致します

    演算子は、カッコを使用してグループ化し、順序を指定できます。

    フィルタは、andorなどの論理演算子を使用して結合することもできます。

    ノート:

    現在適用されている基本フィルタがある場合は、問合せビルダーにも表示されます。
  4. 「適用」をクリックします。

問合せビルダーをクリアするには、「クリア」をクリックします。これにより、適用されている基本フィルタもすべてクリアされます。

例2-1 許可されるコンテキスト違反およびSQL違反の高度なフィルタ 

(violationAction eq "ALLOWED")  and ((violationCause eq "context violation") or (violationCause  eq "SQL violation"))

例2-2 特定のターゲット・データベースに対するSQL違反の高度なフィルタ

(targetName eq "HRApps") and (violationCause eq "SQL violation")

例2-3 特定の時間以降に2つの特定のデータベースに対して実行されたアクションの高度なフィルタ

(operationTime ge "2023-09-11T00:39:43.295Z") and ((targetName eq "HRApps") or (targetName eq "TF_AUTOMATION"))

2.2.5.4 フィルタ・ビルダーを使用して高度なフィルタを作成するためのヒント

  • 高度なフィルタリング・モードで[Esc]キーを押すと、問合せ全体がクリアされます。
  • [Space]キーを押すと、使用可能な属性または演算子のリストを示すドロップダウンが表示されます。
  • targetname (demo_tgt)のような値を入力した後に[Space]キーを押すと、文字列は引用符で囲まれます: ("demo_tgt")
  • [Enter]を押すと、演算子および属性名のリストを示すドロップダウンが閉じます。
  • SQLファイアウォール・ポリシー名などの値に空白が含まれる場合、空白を入力すると、最初の単語が引用符で囲まれます: "policy name"。囲まれた文字列にカーソルを戻し、残りの文字列値の入力を続ける必要があります。
  • 基本フィルタに表示できないフィルタを高度なフィルタリングで作成する場合、基本フィルタリング・モードに戻すことはできません。たとえば、or条件を使用した高度なフィルタは、基本フィルタリングでは表示できません。
  • 基本フィルタを含むカスタム・レポートは、高度なフィルタで更新して保存できます。

SCIMの詳細は、プロトコル・ドキュメント(https://www.rfceditor.org/rfc/rfc7644)を参照してください。

SCIMでのフィルタリングの詳細は、プロトコル・ドキュメントのフィルタリングに関する項(https://www.rfc-editor.org/rfc/rfc7644#section-3.4.2.2)を参照してください。

2.2.5.5 カスタム違反レポートの作成

事前定義済の「すべての違反」レポートを含め、任意の違反レポートからカスタム・レポートを作成できます。カスタム・レポートに保存される詳細は、現在画面に表示している詳細です。オンラインで表示しているレポートに表示されるフィルタおよび列を保持する場合は、カスタム・レポートを作成できます。カスタム・レポートを特定のコンパートメントに格納することも可能です。

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. 「関連リソース」で、「違反レポート」をクリックします。
  3. レポート名をクリックし、必要に応じて変更します。カスタム・レポートが保存されていない場合は、「すべての違反」レポートをクリックして変更します。
  4. 「カスタム・レポートの作成」をクリックします。

    「カスタム・レポートの作成」ダイアログ・ボックスが表示されます。

  5. カスタム・レポートの名前を入力します。
  6. (オプション)カスタム・レポートの説明を入力します。
  7. カスタム・レポートを保存するコンパートメントを選択します。
  8. 「カスタム・レポートの作成」をクリックし、カスタム・レポートが作成されたことを示すメッセージが表示されるまで待ちます。
  9. (オプション)カスタム・レポートを開いて表示するには、「ここをクリック」リンクをクリックします。
  10. (オプション)画面に表示されたレポートに戻るには、「閉じる」をクリックします。

2.2.5.6 カスタム違反レポートの更新

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. 「関連リソース」で、「違反レポート」をクリックします。
  3. 「カスタム・レポート」タブをクリックします。
  4. カスタム・レポート名をクリックします。
  5. 必要に応じて、レポートを変更します。
  6. 「レポートの保存」をクリックします。

    カスタム・レポートが更新されます。

2.2.5.7 カスタム違反レポートの削除

カスタム違反レポートを削除すると、レポートは完全に削除され、元に戻せません。事前定義済の「すべての違反」レポートは削除できません。

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. 「関連リソース」で、「違反レポート」をクリックします。
  3. 「カスタム・レポート」タブをクリックします。
  4. カスタム・レポート名をクリックします。

  5. 「レポートの削除」をクリックします。

    削除の確認を求める「レポートの削除」ダイアログ・ボックスが表示されます。

  6. 「レポートの削除」をクリックします。

2.2.5.8 違反レポートのスケジュールの作成または管理

事前定義済またはカスタムの違反レポートのスケジュールを作成して、PDFまたはXLSレポートを生成できます。

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. 「関連リソース」で、「違反レポート」をクリックします。

    「違反レポート」ページが表示され、違反レポートのリストが表示されます。

  3. 事前定義済の違反レポートを表示するには、「事前定義済レポート」タブの「レポート名」列で、表示するレポート名をクリックします。

    事前定義済のレポートが表示されます。

  4. カスタム違反レポートを表示するには、「カスタム・レポート」タブをクリックします。「レポート名」列で、カスタム・レポートの名前をクリックします。

    カスタム・レポートが表示されます。

  5. 「レポート・スケジュールの管理」をクリックします。

    「レポート・スケジュールの管理」パネルが表示され、デフォルトまたは変更されたスケジュールのいずれかが事前にロードされます。

  6. (オプション)「スケジュール・レポート名」ボックスに、PDFまたはXLSレポートの名前を入力します。
  7. スケジュールによって生成されたレポートを格納するコンパートメントを選択します。
  8. 「レポート形式」で、「PDF」または「XLS」のいずれかの出力を選択します。
  9. 「スケジュール頻度」を選択します。
    • 「毎週」を選択した場合は、「毎回」フィールドで曜日を選択します。
    • 「毎月」を選択した場合は、「日」フィールドで日にちを選択します。
  10. 「時間(UTC)」で、スケジュール時間を選択します。
  11. 「イベント期間」で、違反レコードの期間を選択します。

    たとえば、「過去の月」を選択して14と入力すると、レポートの実行時から過去14か月間の違反が取得されます。

  12. (オプション)行制限を指定します。指定しない場合、デフォルトの行制限は200行です。
  13. 「スケジュールの保存」をクリックします。

    生成されたPDF/XLSレポートには、「違反レポート履歴」ページでアクセスできます。

2.2.5.9 違反レポート履歴の表示および管理

「違反レポート履歴」ページには、スケジュールまたはユーザーの要求に応じて自動的に生成されたすべてのPDF/XLS違反レポートがリストされます。このページでは、過去3か月間に生成されたレポートのリストとそれらのレポートの詳細を表示したり、レポートをダウンロードできます。Oracle Data Safeでは、これらのレポートを最大3か月間格納します。

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. 「関連リソース」で、「違反レポート履歴」をクリックします。

    「違反レポート履歴」表が表示されます。これには次の情報が含まれます。

    • 名前 - 違反レポートの名前
    • 状態 - 「アクティブ」または「更新中」のいずれかで、レポートが現在アクセス可能か、更新中かが表示されます
    • レポート定義 - このスケジュール済または生成済レポートのデータを提供するレポートの名前を指定します
    • 生成時間 - レポートが作成された時間
    • レポート・タイプ - 「生成済」または「スケジュール済」。生成済レポートはスケジュール・システムの外部で生成されたオンデマンド・レポートで、スケジュール済レポートはスケジュール・システムによって生成されたレポートです
    • ファイル形式 - 「PDF」または「XLS」
    • レポートのダウンロード - レポートをダウンロードするためのオプション
  3. (オプション)「フィルタ」で、「レポート定義」「レポート・タイプ」「ファイル形式」および「期間」に基づいて、レポート履歴ページを絞り込みます。
  4. OCIDやコンパートメント情報などの詳細をさらに表示するには、任意のレポート名をクリックします。